タグ

ブックマーク / www.checksite.jp (1)

  • X-Content-Type-Options 対策 | Check!Site

    リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 まず、どんな内容のアラートか調べる為にググってみた。このオプション自体はMSが独自で定義している項目で、Content-Typeだけでファイルタイプを決定するのではなく、コンテンツ内容などもsniffして(調べて)ファイルタイプを決めており、その結果としてXSSが発生することがある、という内容だった。 Webページ設定 対策として、対象サイトであるPHPでコーディングしているWebページに以下の1行を投入した。 <? header("X-Content-Type-Options: nosniff"); ?> その後、対策効果を確認するために、あらためて、OWASP ZAP(Zed Attack Proxy)で検査を実施。 上記のコーディングを追加した該当Webページ自体では「X-Content-Typ

    X-Content-Type-Options 対策 | Check!Site
    sachiko-kame
    sachiko-kame 2019/12/05
    "MIMEタイプをしっかり確認。ようはファイル形式設定してあったらそれ無視するなよの設定 MIMEスニフィッシング対策"
  • 1